В последние недели мы наблюдаем значительное увеличение заявлений о том, что "Relay взломан". Очевидно, что это то, что мы воспринимаем очень серьезно и проводим расследование. Кратко: нет никаких доказательств, указывающих на проблему с Relay. Но существует эпидемия скомпрометированных кошельков, о которой всем следует знать. Вот что мы обнаружили, исследуя более 200 отчетов: - Почти у всех жертв были скомпрометированы приватные ключи или сид-фразы. Relay состоит из смарт-контрактов и веб-приложения. Ни одно из этих средств не может получить доступ к вашему приватному ключу, даже если они были взломаны. Обычно они утечка происходит, когда взламывается хранилище (компьютер, облачное резервное копирование и т. д.) или пользователь обманом делится ими. - Никаких доказательств того, что официальные продукты Relay были взломаны или вовлечены в компрометацию. - У Relay более 1 миллиона пользователей в месяц. И все же только крошечная доля из них столкнулась с проблемами. В общем, все указывает на то, что эти пользователи были скомпрометированы извне. Так почему же обвинять Relay? Это отчасти связано с тем, что многие жертвы не замечают, что они были взломаны, пока не используют Relay. Возможно, они не заметили раннее истощение, потому что это произошло в фоновом режиме. Или, возможно, хакер ждал, пока кошелек не будет иметь достаточных средств, прежде чем его опустошить. Поэтому, когда вы используете Relay, и средства сразу же исчезают, естественно думать, что виноват Relay. Возьмите этот пример: Пользователь (0x9b) использовал Relay, но средства были отправлены хакеру вместо этого (0xD0). Должно быть, это вина Relay, верно? Нет! Что произошло здесь, так это то, что кошелек пользователя был делегирован злонамеренному контракту 7702, и этот контракт имеет функцию обратного вызова, которая немедленно отправляет любые нативные токены. Хакеру даже не нужно совершать транзакцию, чтобы опустошить пользователя. Это происходит автоматически в той же транзакции, когда токены получены! Если вы посмотрите на их прошлые транзакции, вот что вы увидите: 02:56:50 AM = вызов "check in" на каком-то контракте (возможно, связанном с местом, где произошел взлом) 02:56:54 AM = аккаунт опустошен...